实验一Ethereal实验
一、实验目的
1、掌握使用Ethereal捕捉数据包的方法。
2、掌握应用Ethereal进行协议分析的方法。
二、实验步骤与要求
1、先在浏览器的“Internet选项”中删除Internet临时文件和Cookie;
图1 Internet选项下的删除菜单
运行cmd命令启动控制台,运行ipconfig /flushdns命令清除缓存的dns记录;
图2 清空DNS缓存
启动Ethereal抓包,再使用浏览器打开百度主页,网页打开完毕后停止抓包;
从抓取到的数据包中找出DNS数据包,并对数据包进行协议分析;
从抓取到的数据包中找出获取百度主页的HTTP请求报文和响应报文,并对数据包进行协议分析;
从抓取到的数据包中找出客户机与百度Web服务器之间的一个完整的TCP通信过程,并对TCP面向连接通信过程中建立连接和断开连接的数据包进行分析;
从抓取到的数据包中找出IP数据报,并对IP协议进行分析,查看IP报头中各个字段的值和意义;
从抓取到的数据包中找出数据帧,查看帧头中各个字段的值,分析它们的作用。
三、思考题
若没抓到ICMP的包 启动抓包程序 打开命令提示符 输入tracert 敲回车 就能抓到icmp的包
若没抓到DNS的包 启动抓包程序 打开命令提示符 输入nslookup 敲回车 在输入 敲回车 就能抓到DNS的包了。
对抓取到的DNS包进行分析,思考以下问题:
为本机提供域名解析服务的本地域名服务器的IP地址是什么?找dns的包 找到目的地址就是答案
“”是百度Web服务器的规范主机名还是别名?结合nslookup结果进行分析。别名 打开命令提示符 输入nslookup 敲回车 输入 敲回车 就是规范主机名
域名解析服务器返回的百度Web服务器IP地址有几个,分别是什么,能否在浏览器的地址栏中使用IP地址取代域名来访问服务器,为什么?结合nslookup结果进行分析。在界面上的两个ip地址就是答案。可以,原因:减少本地域名服务器的解析
域名服务器给出的是权威的还是非权威的答案,权威、非权威分别表示什么意思?结合nslookup结果进行分析。非权威 权威指权威域名服务器提供的ip地址 非权威是指不是权威域名服务器提供的 ip地址
对抓取到的HTTP报文进行分析,回答以下问题:
获取百度Web服务器主页的HTTP请求报文203和响应报文的序号分别是多少63?请求报文找最后一列中 Get /http/1.1 这是http请求报文 它所对应的第一列数字就是序号 响应报文找http 200ok 序号方法同上
HTTP请求报文中是否使用了条件获取?if-modified-since有就是条件获取 没有就不是
浏览器、服务器 HTTP协议版本是什么?http1.1 固定答案
客户端是否希望服务器保持HTTP连接,服务器是否同意保持HTTP连接?connection:keep alive 有就是保持 其他就是不保持
浏览器、服务器之间采用的是哪一种HTTP连接类 型?持久的还是非持久的,带流水线的还是不带流水线的?持久 带流水线的 固定答案
百度的主页中有一个图片(百度图标),请分析该图片的URL是什么。请找出浏览器获取该图片的HTTP请求报文对应的包序号是多少73,响应报文的序号是多少200,响应报文中是否包含该图片的数据,为什么?找URL:在百度页面上右键点击图片找属性,就能找到URL。请求报文里找if-modificed-since 若有if-modificed 没有图片
对抓取到的TCP数据段进行协议分析,回答以下问题:最前列是包序号;
用来装载百度主页的HTTP请求报文的TCP报文段的源端口号(找sor port 该号就是源端口号)和目的端口号分别是多少?80 固定答案
用来建立上述TCP连接的1327的SYN报文段和1327的SYN ACK报文段的包序号分别是多少?找HTTP的请求报文 前面两到三个tcp的包 找端口号一致的syn和synnck 的包 第一列数字就是答案
在建立TCP连接时,客户端给TCP连接分配的接收缓存大小是多少字节?找上面提到的tcp的syn包 里面 window size 就是缓存大小40320字节
在建立TCP连接的SYN报文段中,是否使用了可选的TCP头?还是找上面提到的那个包 header length 是不是20字节 是 就没有可选 不是比如说32 可选头部就是12字节
在建立TCP连接的SYN报文段中,客户端告知服务器,自己能接受的最大段长度是多少字节? 地点在 可选头部 maximum segment size 大
5295
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
